ایزو امنیت فناوری اطلاعات

استاندارد ایزو امنیت فناوری اطلاعات ISO-15408

قسمت 1 معرفي و مدل عمومي
هدف از تهیه استاندارد های ملی مشخص کردن برآورد ویژگی های امنیتی فناوری اطلاعات است.
با تولید چنین مبنایی با ملاک های مشترک باعث می شود که امنیت فناوری اطلاعات برای مردم مهمتر باشد .
موارد برجسته به دلیل داشتن ترفند های تخصصی در حوزه استاندارد فناوری اطلاعات در نظر گرفته می شوند.
استاندارد امنیت فناوری اطلاعات مورد استفاده موارد زیر است:
الف)این استاندارد شامل پارامترها ی بررسی و ارزیابی وابسته به اقدامات امنیتی اجرایی نمی باشد. همچنين ايـن اقـدامات به صورت مستقیم وابسته به اقدامات امنيتي فناوري اطلاعات نمی باشد.
.این چنین مشخص شده که قسمت قابل توجه ای از امنیت TOE(هدف ارزيـابي ) می تواند از روشهای اجرایی مانند:کنترل های فیزیکی،پرستلی و رویه ای استفاده کند.فرضیات ایمنی که برای فعالیت های امنیتی در فضای TOE در نظر گرفته می شوند، شایستگی تاثير گذاري روی اقدامات امنیتی و روبرو شدن با تهديدهاي معروف شده را دارند.
ب)بررسی دید فيزيکي و راه کار امنيت فناوري اطلاعات همانند نظارت  مکان جريان الکترومغناطيسي به صورت ویژه زیر پوشش نیست،این در صورتی است که تعدادی از موارد مد نظر برای این سطح قابل اعمال خواهند بود. این استاندارد به صورت ویژه بعضی از جهات محافظت فيزيکي از TOE را مورد توجه قرار می دهد.
 پ) در واقع این استاندارد هیچ کدام از روندهای ارزیابی و قالب قانونی و عملیاتی که احتمال دارد بعنوان مقیاسی بوسیله ی مسئولين ارزيابي مورد استفاده قرار می گیرد را مورد توجه قرار نمی دهد. این در صورتی است که توقع می رود ايـن اسـتاندارد برای مقاصد ارزيابي در عرصه ی این گونه قالب و روشی استفاده می شود.
ت) روند بهره وری از نتايج ارزيابي در معین نمودن اعتبار محصول و یا سيستم خـارج از محدوده این اسـتاندارد است.مشخص نمودن اعتبار سيستم يا محصول،یک روند اجرایی است که جواز  کارایی محصول یا سيسـتم فنـاوري اطلاعات
در یک محیط تماما  عملياتي عرضه نمی شود. ارزيابي، بر تمام بخش های تامینی خدمت یا محصول مربوط به صورت مستقیم یا غیر مستقیم بر فرایندهای ایمن در فناوری اطلاعات متمرکز می شود. نتایج این ارزیابی می تواند کمک شایانی به بهبود روند تعیین اعتبار کند. 
ث)این استاندارد  معیار ارزیابی در جهت الگوریتم های رمزنگاری را بررسی نمی کند. برای بررسی ویژگی های الگوریتم های رمز نگاری باید سنجش مستقلی در TOE انجام شود. برای انجام این روند باید تمهیدات لازم و مشخص قبل از اجرای فرایند در نظر گرفته شود. در این قسمت از استاندارد الزاماتی در راستای تضمین امنیت فناوری اطلاعات دو روش را پیشنهاد می دهد:
1- ساختار PP: یا پروفایل حفاظتی این امکان را می دهد تا از الزامات امنیتی این استاندارد بتوان استفاده مجدد نمود.
2- ساختار ST: یا اهداف امنیتی الزاماتی را جهت سنجش محصول یا خدمت مشخص می کند که این هدف همان TOE یا هدف ارزیابی نامیده می شود. این هدف امنیتی پایه و اساس ارزیابی این استاندارد می باشد که باید توسط بازرسان مورد استفاده قرار گیرد.
مخاطب مورد نظر استاندارد  امنیت فناوری اطلاعات
در بررسی خصوصیات امنیتی خدمات و محصولات در حوزه فناوری اطلاعات با سه دسته افراد روبرو می شویم:
1-    مصرف کنندگان هدف ارزیابی (TOE)
2-    تولید کنندگان هدف ارزیابی (TOE)
3-    ارزیابان هدف ارزیابی (TOE)
الزامات این استاندارد نیازهای این سه دسته افراد را تامین می کند. تمامی این افراد به عنوان کاربر اصلی این استاندارد در نظر گرفته می شود.  

الزامات امنيتي IT 
این الزامات مجموعه ای از اصول TOE را برآورده می کند و این اطمینان را به وجود می آورد که به اهداف امنیتی خود دسترسی یابند. الزامات عملیاتی بخشی از فرایند TOE می باشد که مخصوصا تحت پشتیبانی امنیت فناوری اطلاعات قرار می گیرد و عملکرد خوبی ارائه می دهد. از مثال های این دستورات عملیاتی می توان شناسایی، اثبات و تشخیص مبدا را نام برد.